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Description 

[0001 ] La presente Invention concerne u n procede de 
securisation de donnees, destine par exemple e etre 
mis en oeuvre par le microprocesseur d'une carte ban- s 
caire ou une carte d'autorisation d'accds lors d'une con- 
nexion e un terminal informatique d'authentification. 
[0002] Les procedes de securisation de donnees de 
type connu mettent en oeuvre un algorithme cryptogra- 
phique comprenant des cycles d'execution d'operations 10 
r6petltives de traitement d'eiements de donnees conte- 
nus dans une memoire de la carte pour laborer une 
information chiffree destin6e a etre communiquee au 
terminal informatique. 

[0003] Le document D1, "Timing attacks on fmple- 15 
mentations of Diffie-Hellman, RSA, DSS and other sys- 
tems" de Paul C. Kocher, public le 1 8/08/1 996 considere 
le probieme de securisation de donnees dans une carte 
a puce. Dans le document sont presentees differentes 
techniques pour prevenir des attaques: en particulier 20 
pour les algorithmes RSA et Dlffie-Hellmann une signa- 
ture est calcuiee avant I'execution d'une operation de 
exponentiation modulaire. 

[0004] L'exScution du procede par le microproces- 
seur de la carte engendre Emission de signaux derives 25 
tels que des pics de consommation au niveau de i'ali- 
mentation eiectrlque du microprocesseur, ou des varia- 
tions du rayonnement eiectromagnetique de sorte que 
I'enveloppe du rayonnement eiectromagnetique est si- 
gnificative des donnees traitees. Un fraudeur desirant 30 
utiliser de fa$on non autoris6e les cartes a microproces- 
seur peut lancer e plusieurs reprises I'execution du pro- 
cede et analyser les signaux derives emis pour etablir 
des correspondences entre les differentes operations 
de traitement et chaque signal ou serie de signaux. A 35 
partir de ces correspondences, et en soumettant par 
exemple la carte a des perturbations eiectromagneti- 
ques ou des baisses de tension a des instants precis du 
deroulement de I'algorithme, le fraudeur peut etudier 
I'information chlffr6e obtenue et les differences, ou au *o 
contralre I'absence de differences, entre les signaux de- 
rives emis pour decouvrir les donnees contenues dans 
la memoire de la carte. 

[0005] Pour compliquer une telle analyse des signaux 
derives, on a pense a engendrer des signaux parasites 45 
venant s'ajouter aux signaux derives emis lors de I'exe- 
cution du precede. L'extraction des signaux correspon- 
dent a I'execution du procede est alors plus delicate 
mate demeure possible. On a egalement pense a con- 
cevoir les oomposants eiectroniques de la carte et le so 
programme d'execution du procede de sorte que les si- 
gnaux derives 6mis soient Independents de la valeur 
des donnees sensibles. Toutefols, ceci complique la 
realisation des cartes sans assurer une protection sa- 
tlsfaisente des donnees. $5 
[0006] Un but de ('Invention est de proposer un pro- 
cede de securisation efflcace ne presentant pas les in- 
conv6nlents precites. 



[0007] En vue de la realisation de ce but, on prevoit, 
selon ('invention, un procede de securisation de don- 
nees mettant en oeuvre un algorithme cryptoeraphique 
d'execution d'operations de traitement d'ei6ments de 
donnees pour eiaborer une information chiffree, ce pro- 
cede comprenant au moins une etape de transformation 
aieatoire de ('execution d'au moins une operation d'un 
cycle e un autre ou de transformation aieatoire d'au 
moins un des elements de donnees de telle sorte que 
i'information chiffree soit inchangee par cette transfor- 
mation aieatoire. 

[0008] Par transformation aieatoire de I'execution 
d'au moins une operation, on entend une modification 
de I'ordre d'execution d'operations ou de parties d'ope- 
rations, ou une modification du deroulement d'une seule 
operation. Ainsi, au moins une operation et/ou au moins 
une des donnees traitees sont modifiees aieatoirement, 
ce qui affecte de fagon aieatoire les signaux derives 
6mis. II est de ce fait trfcs difficile pour un fraudeur de 
distinguer les differentes operations de traitement et de 
decouvrir les donnees e partir des signaux derives. En 
outre, la modification aieatoire n'affecte pas I'informa- 
tion chiffree de sorte que celle-ci peut etre utilisee de 
facon hebituelle aprds son elaboration. 
[0009] D'autres caracteristiques et avantages de I'in- 
vention apparaltront a la lecture de la description qui 
suit d'un mode de mise en oeuvre particulier non limitatif 
de i'invention, en relation avec la figure unique annexee 
illustrant sous forme d'un schema par blocs le deroule- 
ment du procede selon ce mode de mise en oeuvre. 
[0010] Le procede de securisation selon I'invention 
est ici d6crit mettant en oeuvre un algorithme cryptogra- 
phique symetrique de type DES (abreviation des termes 
DATA ENCRYPTION STANDARD) en vue d'eiaborer 
une information chiffree C de 64 bits e partir d'un bloc 
message M et d'une cl6 secrete K1 eux-mfimes de 64 
bits, 

[0011] Le procede debute par la permutation 10 des 
bits du bloc message M entre eux pour former le bloc 
MO. 

[0012] Le bloc MO est alors dfvis6 en deux blocs M1 
et M2 de 32 bits lors d'une etape de division 20. 
[001 3] II est ensuite proc6d6 e I'expension 30 du bloc 
M2 pour former un bloc M3 de 48 bits. Cette expansion 
30 est par exemple realis6e en decoupant le bloc M2 
en huit quartets et en ejoutent a chaque quartet le bit 
extreme adjacent des quartets encadrant le quartet con- 
cerne (les quartets extremes etant considers comme 
adjacentes). 

[0014] Paralieiement e ces operations, une permuta- 
tion 1 1 0 est effectuee sur les bits de la cie K1 pour for- 
mer la cie K2. Les bits non slgnificatifs de la cie K1 sont 
slmultanement supprimes de sorte que la cie K2 e seu- 
lement 56 bits. 

[0015] Selon I'invention, les bits de lacie K2 sont alors 
modifies aieatoirement lors d'une transformation 120. 
Les bits de la cl6 K3 correspondant aux bits modifies de 
la cie K2, Ici marques par une etoile, sont memorises. 
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La transformation aleatoire 120 est par exemple r6ali- 
s6e en assoclant a la cie K2, par I'intermediaire d'un 
operateur logique de type OU exclusif , un nombre alea- 
toire engendre* par un g6n6rateur de nombres non pr6- 
dictibles de la carte. 

[0016] line cie K4 est obtenue par la rotation 130 des 
bits de la cie K3. Puis, une permutation 140 est realisee 
sur les bits de la cie K4 pour former la cie K5. Simulta- 
n6ment & la permutation 140, les bits non significatifs 
de la cie K4 sont eiimln6s de sorte que la cie K5 com- 
porte 48 bits. 

[0017] Le proc6d6 se poursuit par I'association 210 
du bloc M3 et de la cie K5 par I'intermediaire d'un op6- 
rateur logique de type OU exclusif. Le resultat de cette 
association est le bloc R1 . 

[0018] La transformation inverse des bits du bloc R1 
correspondant aux bits modifies par la transformation 
120 est ensuite realisee pour former le bloc R2. Cette 
transformation 220 inverse de la transformation 120 vi- 
se a remettre les bits du bloc R1 correspondant aux bits 
marques d'une etoile dans I'etat dans lequel ils auraient 
6te en ('absence de la transformation 120. 
[0019] II est ensuite proc6de, de facon classique, h la 
division et au traitement 230 du bloc R2 t k la permuta- 
tion 240 des bits du bloc R3 formes lors de I'etape 230, 
et a I'association 250 du bloc R4 resultat de I'etape 240 
au bloc M1 par un operateur OU exclusif pour former le 
bloc R5. 

[0020] Le groupe d'operations, designe de maniere 
generale par la reference 270, est ensuite execute a 
nouveau & quinze reprises en affectant, k chacune de 
celles-ci. la valeur du bloc M1 au bloc M2 et la valeur 
du bloc R5 au bloc M1 lors d'une etape d'affectation 260. 
[0021] Le proc6d6 se termine par I'operation 300 
d'obtention de 1'information chiff r6e C par la permutation 
inverse et la reunion du bloc dernier M2 et du bloc der- 
nier R5 obtenus. 

[0022] On comprend que I'etape de modification alea- 
toire de la cie K2 comprend la phase de transformation 
1 20 et la phase de transformation inverse 220. Ces deux 
phases permettent d'obtenir une information chiffn§e C 
qui n'est pas affectee par cette modification aleatoire. 
[0023] On pourrait egalement r6aliser de la meme 
manure une modification aleatoire du bloc M2 et/ou 
d'une autre donn6e. 

[0024] Selon un autre mode de mise en oeuvre de In- 
vention, lequel peut etre associe a une etape de modi- 
fication telle que precedemment decrite, I'executlon 
d'au moins une operation peut etre modifiee de facon 
aleatoire d'wn cycle h I'autre, un cycle pouvant etre un 
cycle complet d'execution de I'algorithme ou un cycle 
intermediaire d'execution d'un groupe d'operations. 
[0025] Par exemple, une determination aleatoire de 
I'ordre d'execution de certaines operations peut etre 
r6alis6e au cours d'un cycle d'execution de I'algorithme. 
Les operations retenues serontcelles dont I'ordre d'exe- 
cution les unes par rapport aux autres n'lnfluent pas sur 
le resultat, Pour r6aliser cette determination, on pourra 



prevoir & la fin des operations cholsies un saut condi- 
tionnel vers certaines operations en f onction de la valeur 
d'un nombre aleatoire ou definir un tableau des adres- 
ses des differentes operations parcouru de facon al6a- 
5 toire. 

[0026] A titre d'exemple, la permutation 1 0 des bits du 
bloc message M pourrait etre effectuee aprds la permu- 
tation 110 des bits de la cie K1 ou inversement. 
[0027] De meme, II pourrait dtre pr6vu une determi- 
ne nation aleatoire de I'ordre d'execution des operations du 
groupe 270 pourchaque cycle intermediaire d'execution 
de celles-ci (1 6 cycles Intermedialres d'execution de ces 
operations pour un cycle complet d'execution de I'algo- 
rithme). L6 encore, I'ordre d'execution de ces operations 
is sera choisi pour ne pas inf luer sur le resultat. 

[0028] Par ailleurs, pour certaines operations, les 
donnees sont traitees par elements. Ainst, lors de I'ex- 
pansion 30, les blocs M2 sont traites par quartets. Lors 
de cette operation, on peut prevoir de determiner aiea- 
?o toirement I'ordre de traitement des differents quartets. 
De meme, lors de la permutation 140 les bits de la cie 
K4 sont traites individuellement. Une etape de determi- 
nation aleatoire de I'ordre de traitement des bits peut 
egalement etre prevue pour I'execution de cette permu- 
?5 tation. Les quartets du bloc M2 peuvent egalement etre 
traites en altemance avec les bits de la cie K4, c'est-fc- 
dire que I'on tralte par exemple un premier quartet du 
bloc M2 puis une s6rie de bits de la cie K4, puis un 
deuxieme quartet du bloc M2 etc. , en memorisant a cha- 
w que fois les elements de donn6e traites af in de controller 
que toutes les operations requises sont bien ex6cut6es. 
[0029] Bien entendu, I'invention n'est pas tfmitee au 
mode de realisation qui vient d'etre decrit, mais englobe 
au contraire toute variante reprenant, avec des moyens 
35 equivalents, ses caracterfstiques essentielles. 

[0030] En partlculier, bien que I'invention ait ete de- 
crite en relation avec un algorithme de type DES, I'in- 
vention peut etre appliquee a d'autres algorithmes sy- 
metriques qui procedent par modification de bits. Ainsi, 
40 la modification etant effectuee au moyen d'un operateur 
logique du type OU EXCLUSIF, la longueur des ele- 
ments de donnees non transformes est identique & la 
longueur de ces elements de donn6es transformes. 
[0031] De plus, les nombres de bits des donnees ne 
45 sont mentionnes qu'fc titre indicatif et peuvent etre mo- 
difies pour etre adaptes au degr6 de securisation envi- 
sage. 

[0032] On notera par ailleurs que tous les elements 
de donnees M, M0, M1, M2, M3, K1, K2, K3, K4, K5, 

50 R1 , R2, R3, R4 et R5 peuvent etre transformes en leur 
assoclant, par rintermedlaire de l'op6rateur logique OU 
EXCLUSIF, un nombre aleatoire sachant que, poste- 
rieurement a cette etape de transformation aleatoire, on 
procedera a une etape de transformation Inverse de sor- 

w te que ('information chiffree C solt Inchang6e par lesdi- 
tes transformations. 

[0033] En particuller, les elements de donn6es peu- 
vent dtre des cl6s K1 , K2, K3, K4, K5 ou des blocs de 



5 



EP 1 064 752 B1 



6 



message M, MO, M1 , M2, M3 ou des blocs de messages 
associes a une cie par un operateur logique du type OU 
EXCLUSIF R1, R2, R3, R4 ( R5. 
[0034] On notera enfin que. si I'etape de transforma- 
tion aleatoire est une etape prealable au groupe d'ope- s 
rations execute a plusieurs reprises et si I'etape de 
transformation inverse est une etape posterieure audit 
groupe d'operations, il suffit de gen6rer un nombre alea- 
toire une fois et de traiter le bloc de message M par Tal- 
gorithme pour obtenir une information chiffree, tous les 10 
elements de donnees du bloc etant modifies. La chaTne 
des donnees est protegee de bout en bout En outre, en 
ne muftipliant pas les etapes de transformation et le 
nombre de nombres aieatoires g6n6res, ('algorithme est 
mis en oeuvre rapidement, ce qui est necessaire dans is 
le cas d'une carte a puce ou la duree de 1'execution d'un 
algorithme doit etre minimale. 



Revendlcatlons 20 

1. Procede de securisation de donnees (M) mettant 
en oeuvre, dans un microprocesseur d'une carte a 
puce, un algorithme cryptographique d'execution 
d'operations de traitement d'eiements de donnees 25 
(M t MO, M1, M2, M3, K1, K2, K3, K4 t K5, R1, R2, 
R3, R4, R5) pour eiaborer une information chiffree 
(C), caracterlse en ce qu'il comprend au moins, 
d'une part, une etape de transformation (120) alea- 
toire de bits d'au moins un des elements de don- 30 
nees (K2) en associant audit element de donnees 
(K2), par I'intermediaire d'un operateur logique du 
type OU EXCLUSIF, un nombre aleatoire, et, 
d'autre part, posterieurement a cette etape de 
transformation aleatoire, une etape de transforma- 35 
tion inverse (220), de telle sorte que reformation 
chiffree (C) soit inchangee par ces etapes de trans- 
formation (120, 220), 

2. Procede de securisation selon la revendication 1, 40 
caracterlse en ce qu'un element de donnees 
transforme de maniere aleatoire est une cie (Kl, K2, 

K3, K4, K5). 

3. Precede de securisation selon I'une des revendica- 
tions 1 ou 2, caracterlse en ce qu'un element de 
donnes transforme de maniere aleatoire est un bloc 
de message (M, M0, M1, M2, M3). 

4. Procede de securisation selon I'une des revendica- so 
tions 1, 2 ou 3, caracterlse en ce qu'un element 

de donnees transforme de maniere aleatoire est un 
bloc de message associe a une c!6 par un operateur 
logique du type OU EXCLUSIF (R1, R2, R3, R4, 
R5), 55 

5. Precede de securisation selon I'une des revendlca- 
tlons precedentes, caracterlse en ce que I'algorith- 



me cryptographique d'execution d'operations de 
traitement de donnees (M, M0, M1 , M2, M3, K1 , K2, 
K3, K4, K5, R1 , R2, R3, R4, R5) comprend un grou- 
pe d'operations (270) execute a plusieurs reprises. 

6. Proc6d6 de securisation selon la revendication 5, 
caracterlse en ce que l'6tape de transformation 
aleatoire est une etape prealable au groupe d'ope- 
rations (270) execute a plusieurs reprises et en ce 
que I'etape de transformation inverse est une etape 
posterieure audit groupe d'operations (270). 

7. Proc6de de securisation selon Tune des revendica- 
tions precedentes, caracterlse en ce qu'il com- 
prend en outre une etape de modification aleatoire 
de I'ordre d'execution des operations du groupe 
d'operations (270). 

8. Procede de securisation selon i'une des revendica- 
tions precedentes, caracterlse en ce que I'algorith- 
me cryptographique est du type DATA ENCRYP- 
TION STANDARD. 

9. Cartes a puce comprenant un microprocesseur pro- 
gramme pour mettre en oeuvre un algorithme cryp- 
tographique d'execution d'operations de traitement 
d'eiements de donnees (M, M0, M1, M2, M3, K1, 
K2, K3, K4, K5, R1 , R2, R3, R4, R5) pour eiaborer 
une information chiffree (C), le procede de securi- 
sation de donnees (M) comprenant au moins, d'une 
part, une etape de transformation (1 20) aleatoire de 
bits d'au moins un des elements de donnees (K2) 
en associant audit element de donnees (K2), par 
Tintermediaire d'un operateur logique du type OU 
EXCLUSIF, un nombre aleatoire, et, d'autre part, 
posterieurement a cette etape de transformation 
aleatoire, une etape de transformation inverse 
(220), de telle sorte que ('information chiffree (C) 
soit inchangee par ces etapes de transformation 
(120, 220). 

10. Produit de programme d'ordinateur pour un micro- 
processeur d'une carte a puce, ledit produit de pro- 
gramme d'ordinateur comprenant un jeu d'instruc- 
tions qui, quand celui-ci est charge dans le micro- 
processeur, amene le microprocesseur a executer 
un algorithme cryptographique impliquant des ope- 
rations de traitement d'eiements de donnees (M, 
M0, M1, M2, M3, K1, K2, K3, K4, K5, R1, R2, R3, 
R4, R5) pour eiaborer une information chiffree (C), 
les operations de traitement d'eiements de donn6es 
comprenant au moins, d'une part, une etape de 
transformation (1 20) aleatoire de bits d'au moins un 
des elements de donnees (K2) en associant audit 
element de donnees (K2), par I'intermedialre d'un 
operateur logique du type OU EXCLUSIF, un nom- 
bre aleatoire, et, d'autre part, posterieurement a 
cette etape de transformation aleatoire, une etape 
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de transformation inverse (220), de telle sorte que 
I'information chiffree (C) soit inchangee par ces eta- 
pes de transformation (120, 220). 



PatentansprOche 

1. Datensicherungsverfahren (M), bei dem in einem 
Mikroprozessor einer Chlpkarte ein kryptographi- 
scher Operationsausfuhrungsalgorithmus zur Ver- 
arbeitung von Datenelementen (M, MO, M1, M2, 
M3, K1, K2, K3, K4, K5 ( R1, R2, R3, R4, R5) zum 
Einsatz kommt, urn eine verschlusselte Information 
(C) herzustellen, dadurch gekennzeichnet, dass 
es zum einen mindestens eine zuf&lllge Bit-Um- 
wandlungsphase (120) von mindestens elnem der 
Dateneiemente (K2) umfasst, indem dem besagten 
Datenelement (K2) uber einen booleschen Opera- 
tor vom Typ ausschlieBendes ODER eine Zufalls- 
zahi zugeordnet wird und zum anderen nach dieser 
zufalligen Umwandlungsphase eine umgekehrte 
Umwandlungsphase (220) umfasst, so dass die 
verschlusselte Information (C) durch diese Um- 
wandlungsphasen (120, 220) nicht verandert wird. 

2. Sicherungsverfahren nach Anspruch 1, dadurch 
gekennzeichnet, dass ein auf zufallige Art umge- 
wandeltes Datenelement ein Schlussel (K1 , K2, K3, 
K4, K5) 1st. 

3. Sicherungsverfahren nach einem der Anspruche 1 
Oder 2, dadurch gekennzeichnet, dass ein auf zu- 
fallige Art umgewandeites Datenelement ein Mel- 
dungsblock (M, M0, M1, M2, M3) 1st. 

4. Sicherungsverfahren nach einem der Anspruche 1 , 
2 oder 3, dadurch gekennzeichnet, dass ein auf 
zufallige Art umgewandeites Datenelement ein 
durch einen booleschen Operator vom Typ aus- 
schlieBendes ODER (R1, R2, R3, R4, R5) einem 
Schlussel zugeordneter Meldungsblock ist. 

5. Sicherungsverfahren nach einem der vorausge- 
henden Anspruche, dadurch gekennzeichnet, 
dass der kryptographische Operationsausfuh- 
rungsalgorithmus zur Verarbeitung von Daten (M, 
M0, M1, M2, M3, K1, K2, K3, K4, K5, R1, R2 ( R3, 
R4, R5) eine Reihe von Operationen (270) umfasst, 
die mehrmals ausgefuhrt wird. 

6. Sicherungsverfahren nach Anspruch 5, dadurch 
gekennzeichnet, dass die zufallige Umwand- 
lungsphase eine der mehrmals ausgefQhrten Reihe 
von Operationen (270) vorausgehende Phase ist 
und dass die umgekehrte Umwandlungsphase 
nach der besagten Reihe von Operationen (270) 
stattfindet. 



7. Sicherungsverfahren nach einem der vorausge- 
henden Anspruche, dadurch gekennzeichnet, 
dass es zudem eine Phase der zufalligen Anderung 
der Ausfuhrungsreihenfolge der Operationen der 

5 Operationsreihe (270) umfasst. 

8. Sicherungsverfahren nach einem der vorausge- 
henden Anspruche, dadurch gekennzeichnet, 
dass der kryptographische Algorithmus vom Typ 

10 DATA ENCRYPTION STANDARD ist. 

9. Chipkarten mit einem programmierten Mikropro- 
zessor zum Einsatz eines kryptographischen Ope- 
rationsausfuhrungsalgorithmus zur Verarbeitung 

is von Datenelementen (M, M0, M1 t M2, M3, K1 , K2 t 
K3 ( K4, K5, R1 , R2, R3, R4, R5), urn eine verschlus- 
selte Information (C) herzustellen, wobei das Da- 
tensicherungsverfahren (M) zum einen mindestens 
eine zufallige Bit-Umwandlungsphase (120) von 

20 mindestens einem der Dateneiemente .(K2) um- 
fasst, indem dem besagten Datenelement (K2) uber 
einen booleschen Operator vom Typ ausschlieBen- 
des ODER eine Zufallszahl zugeordnet wird und 
zum anderen nach dieser zufalligen Umwandlungs- 

25 phase eine umgekehrte Umwandlungsphase (220) 
umfasst, so dass die verschlusselte Information (C) 
durch diese Umwandlungsphasen (120, 220) nicht 
verandert wird. 

so 10. Computerprogrammproduktfur einen Mikroprozes- 
sor einer Chipkarte, wobei dieses eine Reihe von 
Anleitungen umfasst, die, wenn sie im Mikroprozes- 
sor geladen ist, den Mikroprozessor dazu fuhrt, ei- 
nen kryptographischen Algorithmus auszufuhren, 

35 bei dem Operationen zur Verarbeitung von Daten- 
elementen (M, M0 t M1 , M2, M3, K1 , K2, K3, K4, K5, 
R1, R2, R3, R4, R5) durchgefuhrt werden, urn eine 
verschlusselte Information (C) herzustellen, wobei 
die Verarbeitungsoperationen von Datenelementen 

40 zum einen mindestens eine zufallige Bit-Umwand- 
lungsphase (120) von mindestens einem der Da- 
teneiemente (K2) umfasst, indem dem besagten 
Datenelement (K2) uber einen booleschen Opera- 
tor vom Typ ausschlieBendes ODER eine Zufalis- 

45 zahl zugeordnet wird und zum anderen nach dieser 
zufalligen Umwandlungsphase eine umgekehrte 
Umwandlungsphase (220) umfasst, so dass die 
verschlusselte Information (C) durch diese Um- 
wandlungsphasen (1 20, 220) nicht verandert wird. 



Claims 

1. Method to secure data (M) Implementing, in a 
smartcard microprocessor, a cryptographic algo- 
rithm executing operations to process data ele- 
ments (M, M0, M1 , M2, M3, K1 , K2, K3, K4, K5, R1 , 
R2, R3, R4, R5) to generate encrypted information 



5 



9 



EP 1 064 752 B1 



10 



(C) , characterised In that ft comprises at least first- 
ly a random bit conversion step (120) to convert at 
least one of the data elements (K2) associating with 
said data element (K2) ( using a logical operator of 
type EXCLUSIVE OR, a random number and sec- 5 
ondly, after this random conversion step, an inverse 
conversion step (220), such that the encrypted in- 
formation (C) Is unchanged by these conversion 
steps (120, 220). 

10 

2. Method to secure data according to claim 1 , char- 
acterised In that a randomly converted data ele- 
ment is a key (K1 , K2, K3, K4, K5). 

3. Method to secure data according to claim 1 or 2, 15 
characterised In that a randomly converted data 
element is a message block (M, MO, M1 , M2, M3), 

4. Method to secure data according to claim 1 , 2 or 3, 
characterised In that a randomly converted data 20 
element is a message block associated with a key 

by a logical operator of type EXCLUSIVE OR (R1 , 
R2, R3, R4, R5). 

5. Method to secure data according to one of the pre- 25 
vious claims, characterised in that the crypto- 
graphic algorithm executing operations to process 
data (M, MO, M1, M2, M3, K1, K2 ( K3, K4, K5, R1, 

R2, R3, R4, R5) comprises a group of operations 
(270) executed several times. 30 

6. Method to secure data according to claim 5, char- 
acterised in that the random conversion step is a 
step carried out prior to the group of operations 
(270) executed several times and in that the in- 35 
verse conversion step is a step carried out after said 
group of operations (270). 

7. Method to secure data according to one of the pre- 
vious claims, characterised In that it comprises in 40 
addition a step to randomly modify the order of ex- 
ecution of the operations in the group of operations 
(270). 

8. Method to secure data according to one of the pre- 45 
vious claims, characterised in that the crypto- 
graphic algorithm is of type DATA ENCRYPTION 
STANDARD. 

9. Smartcard comprising a microprocessor pro- so 
grammed to implement a cryptographic algorithm 
executing operations to process data elements (M, 
MO, M1, M2, M3, K1, K2, K3, K4, K5 t R1, R2, R3, 

R4, R5) to generate encrypted Information (C), the 
method to secure data (M) comprising at least firstly ss 
a random bit conversion step (120) to convert at 
least one of the data elements (K2) associating with 
said data element (K2), using a logical operator of 



type EXCLUSIVE OR, a random number and sec- 
ondly, after this random conversion step, an inverse 
conversion step (220), such that the encrypted in- 
formation (C) is unchanged by these conversion 
steps (120, 220). 

10. Computer program product for a smartcard micro- 
processor, said computer program product com- 
prising a set of instructions which, when it is loaded 
in the microprocessor, makes the microprocessor 
execute a cryptographic algorithm involving opera- 
tions to process data elements (M, MO, M1 , M2, M3, 
K1 , K2, K3, K4, K5, R1 , R2, R3, R4, R5) to generate 
encrypted information (C), the operations to proc- 
ess data elements comprising at least firstly a ran- 
dom bit conversion step (120) to convert at least 
one of the data elements (K2) associating with said 
data element (K2), using a logical operator of type 
EXCLUSIVE OR, a random number and secondly, 
after this random conversion step, an inverse con- 
version step (220), such that the encrypted informa- 
tion (C) is unchanged by these conversion steps 
(120, 220). 
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